K
Keito
Keito

© 2024 Keito

技術ブログとポートフォリオ

認証・認可の基礎に戻る

多要素認証 (MFA)

パスワードだけでは不十分な現代のセキュリティ対策
「知識」「所有」「生体」の組み合わせで、あなたのアカウントを守る

多要素認証(MFA)とは?

多要素認証(MFA:Multi-Factor Authentication)とは、複数の「認証要素」を組み合わせて本人確認を行う仕組みです。

パスワード(知識)だけでなく、スマートフォン(所有物)や指紋(生体情報)なども使って、より強固なセキュリティを実現します。

何かを知っている

Knowledge Factor

記憶に基づく情報。最も一般的な認証方法です。

例:

パスワード
PIN番号
秘密の質問の答え
パスフレーズ

何かを持っている

Possession Factor

物理的に所有している物や、あなたのデバイスに送信される情報。

例:

スマートフォン
認証アプリ
SMSコード
ハードウェアキー

何かである

Inherence Factor

あなた自身の身体的・行動的特徴。変更や複製が困難です。

例:

指紋
顔認証
虹彩認証
声紋認証

身近なMFAの例

🏧 銀行のATM

シナリオ:
ATMでお金を引き出す時、キャッシュカードを挿入して、4桁の暗証番号を入力します。

使われている要素:

持っているキャッシュカード(磁気カード)
知っている4桁の暗証番号

📱 スマートフォン

シナリオ:
iPhoneやAndroidの画面ロック解除で、パスコード入力後に指紋認証や顔認証を行います。

使われている要素:

持っているスマートフォン本体
知っているパスコード・パターン
である指紋・顔・虹彩

🚗 車のスマートキー

シナリオ:
最新の車では、スマートキーを持っているだけでなく、エンジン始動時にブレーキを踏む必要があります。

使われている要素:

持っているスマートキー(電子キー)
しているブレーキペダルを踏む動作

💳 クレジットカード決済

シナリオ:
店舗でのクレジットカード決済で、カードを提示し、サインや暗証番号を入力します。

使われている要素:

持っているクレジットカード
知っている暗証番号
できる署名(筆跡認証)

MFAのセキュリティ効果

パスワードのみ vs MFA のセキュリティ比較

攻撃手法パスワードのみMFA有効
パスワード漏洩❌ 簡単に侵入される✅ 第2要素で防御
フィッシング攻撃❌ だまされやすい⚠️ 高度な攻撃では注意が必要
辞書攻撃・総当たり攻撃❌ 弱いパスワードは突破される✅ パスワードが突破されても安全
パスワードの使い回し❌ 他のサイト侵入のリスク✅ 他サイトの被害を軽減
内部犯行・管理者による攻撃❌ 管理者権限で簡単にアクセス⚠️ 物理的デバイスがあれば突破可能

MFAの劇的な効果

99.9%

自動攻撃をブロック

100倍

セキュリティ向上効果

95%

フィッシング攻撃を防御

MFAツールの比較

認証アプリ (TOTP)

時間ベース

セキュリティ
使いやすさ
コスト無料

メリット

オフラインで動作
多くのサービスで対応
無料

デメリット

スマホ紛失時の復旧が困難
時刻同期が必要

SMS認証

テキストメッセージ

セキュリティ
使いやすさ
コスト通信料

メリット

設定が簡単
多くの人が使える
追加アプリ不要

デメリット

SIMスワップ攻撃のリスク
電波がないと使えない
通信費がかかることがある

ハードウェアキー

物理デバイス

セキュリティ
使いやすさ
コスト3,000〜10,000円

メリット

最高レベルの安全性
フィッシング耐性
バッテリー不要

デメリット

デバイス購入費用
紛失リスク
対応サービスが限定的

生体認証

指紋・顔・虹彩

セキュリティ
使いやすさ
コストデバイス価格に含まれる

メリット

使いやすい
忘れることがない
高速認証

デメリット

デバイス依存
怪我で使えないことがある
複製リスク

音声通話認証

電話

セキュリティ
使いやすさ
コスト通話料

メリット

スマートフォン不要
高齢者でも使いやすい

デメリット

時間がかかる
通話料
盗聴リスク

メール認証

電子メール

セキュリティ
使いやすさ
コスト無料

メリット

設定簡単
普及率が高い

デメリット

メールアカウント乗っ取りで突破
遅延がある
スパムに紛れやすい

推奨の組み合わせ

🥇 最強セキュリティ

認証アプリ + ハードウェアキー
重要なアカウント(銀行、仕事)に推奨

🥈 バランス重視

認証アプリ + 生体認証
日常使いのアカウントに推奨

主要サービスでのMFA設定

🔍

Google アカウント

必須

Gmail、YouTube、Google Driveなど重要なサービスの基盤

設定手順:

  1. 1.Google アカウントにログイン
  2. 2.「セキュリティ」→「2段階認証プロセス」
  3. 3.電話番号を追加
  4. 4.認証アプリを設定(推奨)
  5. 5.バックアップコードを保存
🍎

Apple ID

必須

iPhone、Mac、iCloudの基盤。デバイス紛失時に重要

設定手順:

  1. 1.「設定」→「Apple ID」
  2. 2.「サインインとセキュリティ」
  3. 3.「2ファクタ認証」をオン
  4. 4.信頼できる電話番号を追加
  5. 5.信頼できるデバイスを確認
🏢

Microsoft アカウント

強く推奨

Outlook、OneDrive、Office 365を保護

設定手順:

  1. 1.Microsoft アカウントにログイン
  2. 2.「セキュリティ」タブを選択
  3. 3.「高度なセキュリティオプション」
  4. 4.「2段階認証の設定」
  5. 5.認証アプリまたはSMSを選択
🏦

銀行・金融機関

必須

金融資産を保護する最重要アカウント

設定手順:

  1. 1.インターネットバンキングにログイン
  2. 2.「セキュリティ設定」を探す
  3. 3.「ワンタイムパスワード」を有効化
  4. 4.専用アプリをダウンロード
  5. 5.初期設定とテスト実行
📦

Amazon

強く推奨

決済情報や購入履歴の保護

設定手順:

  1. 1.Amazonアカウントにログイン
  2. 2.「アカウント&ログイン情報」
  3. 3.「2段階認証の設定」
  4. 4.認証アプリまたはSMSを選択
  5. 5.バックアップ方法を設定
💬

SNS (X, Facebook)

推奨

アカウント乗っ取りによる被害防止

設定手順:

  1. 1.各サービスの設定画面を開く
  2. 2.「セキュリティ」または「プライバシー」
  3. 3.「2要素認証」を有効化
  4. 4.認証方法を選択
  5. 5.ログイン通知を有効化

MFAの注意点と限界

MFAでも防げない攻撃

  • 高度なフィッシング攻撃(リアルタイムプロキシ)
  • SIMスワップ攻撃(SMS認証の場合)
  • マルウェアによるセッション乗っ取り
  • 内部犯行(物理的アクセス)
  • ソーシャルエンジニアリング

使用時の注意点

  • バックアップ認証方法を必ず設定
  • デバイス紛失時の復旧手順を確認
  • 認証コードは第三者に絶対教えない
  • 公共Wi-Fiでの認証は避ける
  • 定期的な設定見直しと更新

MFA活用のベストプラクティス

🔐 セキュリティ重視

  • 重要なアカウントは認証アプリ+ハードウェアキー
  • SMS認証よりも認証アプリを優先
  • バックアップコードを安全な場所に保存
  • 定期的なアクセスログの確認

⚡ 利便性重視

  • 生体認証で日常的なアクセスを簡単に
  • 信頼できるデバイスの設定を活用
  • パスワードマネージャーとの連携
  • 複数認証方法の併用で冗長性確保

🎯 まとめ

多要素認証(MFA)は、現代のデジタルセキュリティの必需品です。

パスワードだけでは不十分な時代に、「知識」「所有」「生体」の組み合わせ
あなたの大切な情報とプライバシーを守ります。

少しの手間で劇的にセキュリティが向上するMFA。
まずは重要なアカウントから設定を始めてみましょう。

認証・認可の基礎に戻るOIDC(OpenID Connect)